近年重要度が高まるエンドポイントセキュリティの領域において、AI(人工知能)を用いた新たなアプローチで注目を集めるBlackBerry(旧社名:Cylance)社。
IIJでは、その性能や対策の思想から「IIJセキュアエンドポイントサービス」のエンジンとして、同社の製品を採用しています。

今回は、BlackBerry社でセールスエンジニアを務める高橋様に、現在の脅威状況や対策、そしてBlackBerry社の考えるエンドポイントセキュリティについて伺いました。
(聞き手:IIJマーケティング担当 和泉)

エンドポイントをとりまく脅威と対策の動向

マルウェアの流行や感染被害を耳にすることが増えていますが、現在の脅威動向を教えてもらえますか?

マルウェアの数の推移としても年々増加傾向となっています。その中で、ここ数年は年間で約1億4千万件の新種のマルウェアが発見されています。つまり、1秒で約4個もの新種のマルウェアが見つかっている状態ですね。

そんなにも多いのですね・・。

はい。ということは各企業にも新種のマルウェアが届くリスクが高まっているということです。

こうしたマルウェアへの対策状況はいかがでしょうか?

従来はアンチウイルスでの対策が一般的ですが、近年認識されているとおり、新たなマルウェアを発見後にパターンファイルが作成、配信されるため、未知の脅威には対応できません。

サンドボックスに代表される振る舞い検知の製品もありますが、やはり未知の脅威を防ぐにはこうした製品が必要なのでしょうか?

実は、市場に多くの対策製品が出回っている一方で、こうした検知を回避する技術も進化しています。なので、完全に防ぎきることができない状況ですね・・。
そこで、最近ではマルウェアを防ぐ対策に加えて、防げないことを前提として影響を極小化していくEDR※も注目されています。

※ EDR(Endpoint Detection and Response):エンドポイントの操作や動作の監視を行い、迅速な初動対応を可能にするソフトウェアの総称。詳しくは「セキュリティの新潮流として注目される「EDR」とは -その仕組みと効果を最大化するポイントを徹底解説-」をご覧ください。

EDRへの過度な依存は危険 – BlackBerryの考える対策アプローチ-

なるほど。しっかりと防御対策を取った上で、それでもすり抜けてしまう攻撃に対して対策できる仕組みを導入すればいいのですね。

ただ、EDRを導入すれば解決というわけではありません。こうした事後の対策にも課題があります。

どのような点でしょうか?

EDRは事後の対応を迅速化することを目的としています。当然、事後対応となるとリスクが高まる点に加え、マニュアル外の手動対応も増えるため、運用負荷やコストも高まります。
EDRは効果的ではありますが、依存度やバランスを考えていくことが求められます。

事後対応を強化すれば解決というわけではないのですね・・。
こうした状況に対してBlackBerryではどのように考えているのでしょうか?

我々は自動的な予防、つまり事前に防御することを重要視しています。
EDRの提供もしていますが、アンチウイルスと組み合わせて利用し、極力事前に防御して運用負担を減らしていく考え方で製品を設計しています。

すみません、、少し混乱してきました・・。
防御が難しいため、EDRによる事後対応が必要という話ではなかったでしょうか?

もちろん、従来のシグネチャベースのアンチウイルスでは限界があります。
そこで、我々の提供する「BlackBerry Protect」ではAIによる機械学習を用いた検知というアプローチをとっています。

どのような検知の仕組みになるのでしょうか?

マルウェアなどの悪性なファイルと正常なファイルの膨大なデータを解析し、機械学習でファイルの特徴をモデル化していきます。ファイルの特徴で判断するため、未知/既知を問わずに防御できます。

EDRで検知する前段階で極力防いでいくということが重要なのですね。

はい。我々は「EPR(Endpoint Prevention and Response)」という対策アプローチを提唱しています。EDRの“Detection”はあくまで検知ですが、“Prevention”つまり防御をしたうえでの、事後対応が重要になると考えています。

こうした思想は製品設計にも反映されているのでしょうか?

はい。アンチウイルスとして「BlackBerry Protect」、EDRとして「BlackBerry Optics」を提供していますが、「BlackBerry Optics」の利用には「BlackBerry Protect」が必須という形を取っています。

EDRはあくまで事前に強固な対策をしたうえでということなのですね。

さらにEDRの運用における負荷を軽減するためには、スキル習得や使い勝手も重要です。
我々は「BlackBerry Protect」と「BlackBerry Optics」を同じ管理画面で確認できるようにしており、極力シンプルな設計にすることで運用における使いやすさを重視しています。
また、「BlackBerry Optics」では検知に至ったプロセスの可視化ができるようにしています。
他社製品では公表されないものもありますが、お客様側での判断が求められる運用の現場では原因を把握して、対処に移れることが重要だと考えています。

BlackBerry社と他社製品を詳しく比較!
>>ガイドブックと2冊セットでダウンロード(無料)<<

AIの活用 BlackBerryの今後の展望

BlackBerryの今後の展望を教えてもらえますか?

現在はAIをファイルの検知に対して活用していますが、あらゆる分野へ応用ができると考えています。

具体的にはどのような分野が挙げられますか?

直近ではユーザ認証への応用を考えています。現在はログインをするタイミングでの認証となりますが、これは一時的な認証に過ぎません。
例えば、キーボードの入力の癖など人の生体的な活動も用いて、継続的に認証がし続けられるようにしていきたいと考えています。

これまでにないユニークな機能ですね!
BlackBerryではユーザの運用を考慮した対策のアプローチを取られている点と人工知能の可能性を知ることができました。
本日はありがとうございました。

●この記事を読んだらチェックしたいサービス
クラウド型の統合エンドポイントセキュリティサービス IIJセキュアエンドポイントサービス


●関連記事
セキュリティの新潮流として注目される「EDR」とは -その仕組みと効果を最大化するポイントを徹底解説-

※本記事はインターネットイニシアティブのオウンドメディア「エンタープライズIT」から提供を受けております。著作権は同社に帰属します。

[PR]提供:インターネットイニシアティブ